Juniper防火墻安全配置基線要點(diǎn)

Juniper防火墻安全配置基線

版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實(shí)施 11.5 例外條款 1第2章 帳號管理、認(rèn)證授權(quán)安全要求 22.1 帳號管理 22.1.1 用戶帳號分配* 22.1.2 刪除無關(guān)的帳號* 32.1.3 帳戶登錄超時* 32.1.4 帳戶密碼錯誤自動鎖定* 42.2 口令 52.2.1 口令復(fù)雜度要求 52.3 授權(quán) 62.3.1 遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議 6第3章 日志及配置安全要求 73.1 日志安全 73.1.1 記錄用戶對設(shè)備的操作 73.1.2 開啟記錄NAT日志* 73.1.3 開啟記錄VPN日志* 83.1.4 配置記錄流量日志 93.1.5 配置記錄拒絕和丟棄報(bào)文規(guī)則的日志 103.2 告警配置要求 103.2.1 配置對防火墻本身的攻擊或內(nèi)部錯誤告警 103.2.2 配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告警 113.2.3 配置TCP/IP協(xié)議應(yīng)用層異常攻擊告警* 123.3 安全策略配置要求 123.3.1 訪問規(guī)則列表最后一條必須是拒絕一切流量 123.3.2 配置訪問規(guī)則應(yīng)盡可能縮小范圍 133.3.3 配置NAT地址轉(zhuǎn)換* 143.3.4 隱藏防火墻字符管理界面的bannner信息 143.3.5 關(guān)閉非必要服務(wù) 153.4 攻擊防護(hù)配置要求 163.4.1 拒絕常見漏洞所對應(yīng)端口或者服務(wù)的掃描 163.4.2 拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問 16第4章 IP協(xié)議安全要求 184.1 功能配置 184.1.1 使用SNMPV2c或者V3以上的版本對防火墻遠(yuǎn)程管理 18第5章 其他安全要求 195.1 其他安全配置 195.1.1 外網(wǎng)口地址關(guān)閉對ping包的回應(yīng)* 195.1.2 對防火墻的管理地址做源地址限制 20第6章 評審與修訂 21概述目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Juniper防火墻的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。適用版本Juniper防火墻SRX系列防火墻。實(shí)施例外條款帳號管理、認(rèn)證授權(quán)安全要求帳號管理用戶帳號分配*安全基線項(xiàng)目名稱用戶帳號分配安全基線要求項(xiàng)安全基線編號SBL-SRX-02-01-01安全基線項(xiàng)說明不同等級管理員分配不同帳號，避免帳號混用。檢測操作步驟參考配置操作進(jìn)入配置模式Editwarning:Clusteringenabled;usingprivateeditwarning:uncommittedchangeswillbediscardedonexitEnteringconfigurationmodesetsystemloginuseruser1classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:setsystemloginuseruser2classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:commit補(bǔ)充操作說明前兩個用戶為建立的帳號,帳號的class有operator、read-only和super-user?；€符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄。檢測操作#showconfiguration|displayset|matchuser1setsystemloginuseruser1classread-onlysetsystemloginuseruser1authenticationencrypted-password"$1$ANj6Tqmg$xvVAxV/V0s9MXxGQn93CB0"#showconfiguration|displayset|matchuser2setsystemloginuseruser2classread-onlysetsystemloginuseruser2authenticationencrypted-password"$1$oo4HYMP/$tAJyZrKkHRCz5V/yfqzHU0"補(bǔ)充說明無。備注防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的帳號，需要手工檢測。刪除無關(guān)的帳號*安全基線項(xiàng)目名稱無關(guān)的帳號安全基線要求項(xiàng)安全基線編號SBL-SRX-02-01-02安全基線項(xiàng)說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的帳號。檢測操作步驟參考配置操作editdeletesystemloginuseruser1補(bǔ)充操作說明基線符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測操作>showconfiguration|displayset|matchuser1>補(bǔ)充說明無。備注建議手工抽查系統(tǒng)，無關(guān)賬戶更多屬于管理層面，需要人為確認(rèn)。帳戶登錄超時*安全基線項(xiàng)目名稱帳戶登錄超時安全基線要求項(xiàng)安全基線編號SBL-SRX-02-01-03安全基線項(xiàng)說明配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步驟參考配置操作設(shè)置超時時間為5分鐘2、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件在超出設(shè)定時間后，用戶自動登出設(shè)備。參考檢測操作補(bǔ)充說明無。備注需要手工檢查。帳戶密碼錯誤自動鎖定*安全基線項(xiàng)目名稱帳戶密碼錯誤自動鎖定安全基線要求項(xiàng)安全基線編號SBL-SRX-02-01-04安全基線項(xiàng)說明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設(shè)置為300秒檢測操作步驟參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次2、補(bǔ)充說明無。基線符合性判定依據(jù)判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達(dá)后可以登錄。參考檢測操作補(bǔ)充說明無。備注注意！此項(xiàng)設(shè)置會影響性能，建議設(shè)置后對訪問此設(shè)備做源地址做限制。需要手工檢查。口令口令復(fù)雜度要求安全基線項(xiàng)目名稱口令復(fù)雜度要求安全基線要求項(xiàng)安全基線編號SBL-SRX-02-02-01安全基線項(xiàng)說明防火墻管理員帳號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測操作步驟參考配置操作setsystemauthentication-ordertacplussetsystemauthentication-orderpasswordsetsystemtacplus-serversecret"$9$b224ZTQnCA0JG"setsystemtacplus-serversource-address補(bǔ)充操作說明口令字符不完全符合要求?；€符合性判定依據(jù)判定條件該級別的密碼設(shè)置由管理員進(jìn)行密碼的生成，設(shè)備本身無此強(qiáng)制功能。檢測操作此項(xiàng)無法通過配置實(shí)現(xiàn)，建議通過管理實(shí)現(xiàn)。補(bǔ)充說明無。備注授權(quán)遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議安全基線項(xiàng)目名稱遠(yuǎn)程維護(hù)使用加密協(xié)議安全基線要求項(xiàng)安全基線編號SBL-SRX-02-03-01安全基線項(xiàng)說明對于防火墻遠(yuǎn)程管理的配置，必須是基于加密的協(xié)議。如SSH或者WEB

SSL，如果只允許從防火墻內(nèi)部進(jìn)行管理，應(yīng)該限定管理IP。檢測操作步驟參考配置操作系統(tǒng)默認(rèn)支持telnet及SSH兩種管理方式，查看及增加管理IP操作如下：setsystemservicessshprotocol-versionv2setsecurityzonessecurity-zonetestinterfacesge-0/0/0.0host-inbound-trafficsystem-servicesssh補(bǔ)充操作說明基線符合性判定依據(jù)判定條件查看是否啟用SSH連接。檢測操作showinterfacesge-0/0/0.0……Security:Zone:testAllowedhost-inboundtraffic:dhcphttppingsnmpsshtelnet補(bǔ)充說明無。備注日志及配置安全要求日志安全記錄用戶對設(shè)備的操作安全基線項(xiàng)目名稱用戶對設(shè)備記錄安全基線要求項(xiàng)安全基線編號SBL-SRX-03-01-01安全基線項(xiàng)說明配置記錄防火墻管理員操作日志，如管理員登錄，修改管理員組操作，帳號解鎖等信息。配置防火墻將相關(guān)的操作日志送往操作日志審計(jì)系統(tǒng)或者其他相關(guān)的安全管控系統(tǒng)。檢測操作步驟1．參考配置操作setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補(bǔ)充操作說明在啟動日志記錄的情況下，JunOS會記錄相關(guān)的日志，無需額外配置?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showconfigurationsystemsyslog檢查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages備注開啟記錄NAT日志*安全基線項(xiàng)目名稱開啟記錄NAT日志安全基線要求項(xiàng)安全基線編號SBL-SRX-03-01-02安全基線項(xiàng)說明開啟記錄NAT日志，記錄轉(zhuǎn)換前后IP地址的對應(yīng)關(guān)系。檢測操作步驟1．參考配置操作I.啟動日志記錄setsystemsyslogfileFW-LOGSuserinfo

setsystemsyslogfileFW-LOGSmatchRT_FLOW

setsystemsyslogfileFW-LOGSarchivesize1m

setsystemsyslogfileFW-LOGSarchivefiles3

setsystemsyslogfileFW-LOGSstructured-databrief

2．補(bǔ)充操作說明無。基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showlogFW-LOGS檢查:fileFW-LOGS{userinfo;matchRT_FLOW;archivesize1mfiles3;structured-data{brief;}}showlogFW-LOGSd備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。開啟記錄VPN日志*安全基線項(xiàng)目名稱開啟記錄VPN日志安全基線要求項(xiàng)安全基線編號SBL-SRX-03-01-03安全基線項(xiàng)說明開啟記錄VPN日志，記錄VPN訪問登陸、退出等信息。檢測操作步驟1．參考配置操作showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}2．補(bǔ)充操作說明在啟動日志記錄的情況下，JunOS會記錄VPN的日志，無需額外配置。基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showconfigurationsystemsyslogshowlogging檢查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。配置記錄流量日志安全基線項(xiàng)目名稱配置記錄流量日志安全基線要求項(xiàng)安全基線編號SBL-SRX-03-01-04安全基線項(xiàng)說明配置記錄流量日志，記錄通過防火墻的網(wǎng)絡(luò)連接的信息。檢測操作步驟1．參考配置操作PIX防火墻上無流量日志。網(wǎng)絡(luò)連接日志通過只需要啟動日志記錄setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch"RT_FLOW_SESSION"2．補(bǔ)充操作說明可以通過showlogtraffic-log來檢查連接情況?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showlogtraffic-log檢查:showlogtraffic-log備注配置記錄拒絕和丟棄報(bào)文規(guī)則的日志安全基線項(xiàng)目名稱配置記錄拒絕和丟棄報(bào)文規(guī)則的日志安全基線要求項(xiàng)安全基線編號SBL-SRX-03-01-05安全基線項(xiàng)說明配置防火墻規(guī)則，記錄防火墻拒絕和丟棄報(bào)文的日志。檢測操作步驟1．參考配置操作JunOS防火墻自動將在訪問控制列表（access-list）中拒絕（deny）的數(shù)據(jù)包生成syslog信息。只需要啟動日志記錄setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch"RT_FLOW_SESSION"2．補(bǔ)充操作說明基線符合性判定依據(jù)使用showlogtraffic-log檢查:showlogtraffic-log備注告警配置要求配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線項(xiàng)目名稱配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線要求項(xiàng)安全基線編號SBL-SRX-03-02-01安全基線項(xiàng)說明配置告警功能，報(bào)告對防火墻本身的攻擊或者防火墻的系統(tǒng)內(nèi)部錯誤。檢測操作步驟1．參考配置操作I.啟動日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showlogmessages檢查:showlogmessages備注配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告警安全基線項(xiàng)目名稱配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告警安全基線要求項(xiàng)安全基線編號SBL-SRX-03-02-02安全基線項(xiàng)說明配置告警功能，報(bào)告網(wǎng)絡(luò)流量中對TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊的相關(guān)告警。檢測操作步驟1．參考配置操作I.啟動日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showlogmessages檢查:showlogmessages備注配置TCP/IP協(xié)議應(yīng)用層異常攻擊告警*安全基線項(xiàng)目名稱置TCP/IP協(xié)議應(yīng)用層異常攻擊告警安全基線要求項(xiàng)安全基線編號SBL-SRX-03-02-03安全基線項(xiàng)說明配置告警功能，報(bào)告網(wǎng)絡(luò)流量中對TCP/IP應(yīng)用層協(xié)議異常進(jìn)行攻擊的相關(guān)告警。檢測操作步驟1．參考配置操作I.啟動日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showlogmessages檢查:showlogmessages備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。安全策略配置要求訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線項(xiàng)目名稱訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項(xiàng)安全基線編號SBL-SRX-03-03-01安全基線項(xiàng)說明防火墻在配置訪問規(guī)則列表時，最后一條必須是拒絕一切流量。檢測操作步驟1．參考配置操作JunOS防火墻策略，沒有開放策略，默認(rèn)就是拒絕一切流量，只允許已經(jīng)開發(fā)了策略的流量通過。在設(shè)置最后一條規(guī)則時，配置規(guī)則：2．補(bǔ)充操作說明不需要做設(shè)置基線符合性判定依據(jù)1.判定條件只需要檢查permit的策略2.檢測操作無備注配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線項(xiàng)目名稱配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線要求項(xiàng)安全基線編號SBL-SRX-03-03-02安全基線項(xiàng)說明在配置訪問規(guī)則時，源地址，目的地址，服務(wù)或端口的范圍必須以實(shí)際訪問需求為前提，盡可能的縮小范圍。禁止源到目的全部允許規(guī)則。禁止目的地址及服務(wù)全允許規(guī)則，禁止全服務(wù)訪問規(guī)則。檢測操作步驟1．參考配置操作定義源地址，定義目的地址，定義源端口號，定義目的端口號setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setapplicationsapplicationtcp_80protocoltcpsetapplicationsapplicationtcp_80source-port0-65535destination-port80-80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchsource-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchdestination-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchapplicationtcp_80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestthenpermit2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件檢查配置2.檢測操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytest備注配置NAT地址轉(zhuǎn)換*安全基線項(xiàng)目名稱配置NAT地址轉(zhuǎn)換安全基線要求項(xiàng)安全基線編號SBL-SRX-03-03-03安全基線項(xiàng)說明配置NAT地址轉(zhuǎn)換，對互聯(lián)網(wǎng)隱藏內(nèi)網(wǎng)主機(jī)的實(shí)際地址。檢測操作步驟1．參考配置操作I.配置防火墻使用靜態(tài)地址轉(zhuǎn)換setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrulenumbermatchdestination-addressdestination-ip_addresssetsecuritynatstaticrule-setMIPrulenumberthenstatic-natprefixsource-ip_address2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件配置中有nat或者static的內(nèi)容2.檢測操作使用setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrule1matchdestination-address/32setsecuritynatstaticrule-setMIPrule1thenstatic-natprefix/32showsecuritynatstaticrule1備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。隱藏防火墻字符管理界面的bannner信息安全基線項(xiàng)目名稱隱藏防火墻字符管理界面的bannner信息安全基線要求項(xiàng)安全基線編號SBL-SRX-03-03-04安全基線項(xiàng)說明隱藏防火墻字符管理界面的bannner信息。檢測操作步驟1．參考配置操作I.配置登陸banner信息editsetsystemloginmessage2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件配置中有banner的內(nèi)容2.檢測操作使用showrunning-configbanner[exec|login|motd]，如下例：setsystemloginmessage"WarningfromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!"showconfigurationsystemloginmessagemessage"WarningfromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!";備注關(guān)閉非必要服務(wù)安全基線項(xiàng)目名稱關(guān)閉非必要服務(wù)安全基線要求項(xiàng)安全基線編號SBL-SRX-03-03-05安全基線項(xiàng)說明防火墻設(shè)備必須關(guān)閉非必要服務(wù)。檢測操作步驟1．參考配置操作關(guān)閉HTTP服務(wù)器editdeletesystemservicesweb-management2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中是否關(guān)閉對應(yīng)服務(wù)2.檢測操作使用showconfigurationsystemservices查看服務(wù)開發(fā)狀態(tài)備注攻擊防護(hù)配置要求拒絕常見漏洞所對應(yīng)端口或者服務(wù)的掃描安全基線項(xiàng)目名稱拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問安全基線要求項(xiàng)安全基線編號SBL-SRX-03-04-01安全基線項(xiàng)說明配置防火墻的screen功能，拒絕對防火墻保護(hù)的系統(tǒng)中常見漏洞所對應(yīng)端口或者服務(wù)的訪問。檢測操作步驟1．參考配置操作setsecurityscreenids-optionuntrust-screenlimit-sessionsource-ip-based1000setsecurityscreenids-optionuntrust-screenlimit-sessiondestination-ip-based60000setsecurityscreenids-optionuntust-screenicmpip-sweepsetsecurityscreenids-optionuntust-screenicmpfloodsetsecurityscreenids-optionuntust-screenicmpping-deathsetsecurityscreenids-optionuntust-screeniptear-dropsetsecurityscreenids-optionuntust-screentcptcp-no-flagsetsecurityscreenids-optionuntust-screentcpsyn-fragsetsecurityscreenids-optionuntust-screentcpport-scansetsecurityscreenids-optionuntust-screentcpsyn-floodsetsecurityscreenids-optionuntust-screentcplandsetsecurityscreenids-optionuntust-screentcpwinnukesetsecurityscreenids-optionuntust-screenudpfloodsetsecurityzonessecurity-zoneuntrustscreenuntrust-screen2．補(bǔ)充操作說明應(yīng)根據(jù)實(shí)際情況調(diào)整。基線符合性判定依據(jù)1.判定條件檢查配置文件2.檢測操作使用命令showsecurityscreenstatisticszoneuntrust備注拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問安全基線項(xiàng)目名稱拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問安全基線編號SBL-SRX-03-04-02安全基線項(xiàng)說明拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問。檢測操作步驟1．參考配置操作配置防火墻策略，屏蔽一些端口。setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1521setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1433setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshthenreject2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中是否有verifyreverse-path2.檢測操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-ssh備注

IP協(xié)議安全要求功能配置使用SN